新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > 投稿順表示 (57/282)

投稿順表示 (57/282)

[4769] Re: 「くりきんは危険かも」

メタルドット (2008年1月16日 11時32分)

フラスコスってどうやって手に入れるんですか~~?

教えてください

[4768] 私と通信してください

あやぴー (2008年1月14日 13時35分)

1月14日の午後14時に門を開けてくれると助かります。コード・4768-6410-2337です村・フルーツ村。名前:あやぴー

[4767] 通信しよう

アミン (2008年1月14日 13時30分)

1月14日の午後14時に門を開けてくれると助かります

[4766] Re: 「くりきんクリア」

ヘキサリアンズ (2008年1月14日 8時13分)

そうそうサークリア

[4765] Re: 「くりきんは危険かも」

アダムス (2008年1月11日 17時30分)

俺らは菌の名前を呼ぶとき菌の最初の名前の4文字で呼んでいるよ例えばアダムスキンは、アダムスとかキンオブゴットは、キンオブとかそういうかんじ

[4764] Re: 「くりきんは危険かも」

アダム (2008年1月11日 17時22分)

俺の固有菌はアダムスキンでした。

[4763] Re: 「Wiki に画像の URL を貼ると……」

ばけら (2008年1月5日 22時23分)

>画像を利用させてもらっているのだから、Refererどころか断りのメールを送ってもいいくらい。

 元記事を読んでいただくと分かると思うのですが、厳密な NDA(秘密保持契約) に縛られて仕事をしているようなケースを想定しています。例えばですが、

・新製品のキャンペーンサイトを作成している

・その新製品は未発表であり、発表前に製品名等が漏洩するとまずい

・プロジェクト名にはその製品名が含まれている

 という状況を考えてみてください。たいてい製品発表とサイト公開は同時に行われることになりますから、製品発表前に制作が完了していないといけないわけでして、未発表製品のサイト作成というのは良くある話です。

 こういう状況で Wiki に「プロジェクト名」のページが作成されていると、Referer から URL が漏洩することによって、未発表の製品名が漏洩してしまう可能性があります。

 もちろん

・プロジェクト名に製品名を入れない

・Wiki にプロジェクト名を入れない

 といった対策も考えられますが、前者は直感的ではありませんし、後者は Wiki の実装上、ページ名がそのまま URL の一部になってしまう場合が多いです。

>そもそもその画像はどうやって見るつもり(見せるつもり)なのでしょう?

 こちらも元記事を読んでいただけば分かると思うのですが、もともとその画像を利用するつもりなど全く無く、その場で見る/見せるつもりも全くありませんでした。本来の意図としては、単に URL を文字列として表示したかったのですが、そのつもりで URL を書いたところ、意図に反して画像が表示されてしまったという話です。

 一言で言うなら、たとえば「Flash Player のバナー画像のありかをメモするために画像の URL を書く」なんてことは普通に行われますが、その行為によって Adobe に未公開の製品名を知られてしまうのはまずいよね、という話です。

[4762] Re: 「Wiki に画像の URL を貼ると……」

ハッカ飴 (2008年1月5日 21時33分)

画像を利用させてもらっているのだから、Refererどころか断りのメールを送ってもいいくらい。

そもそもその画像はどうやって見るつもり(見せるつもり)なのでしょう?

[4761] くりきん

マイヤヒ (2008年1月4日 22時20分)

まだ22章でミヤじいの試練でまだ最初なんだがまっ・・・・・たく倒せません!どうやって倒すのですか~~?

[4760] Re: 「4コマ 小学生 兄妹 なめこ 泌尿器」

ばけら (2008年1月4日 18時18分)

>Googleで検索してみたら「○本の住人」であるべきところが「本の住人」になってるのですが、Googleは記号を無視するというアレでしょうか?

 だと思います。リンク先のタイトルは正しいので……。

[4759] Re: 「4コマ 小学生 兄妹 なめこ 泌尿器」

えむけい (2008年1月4日 18時7分)

Googleで検索してみたら「○本の住人」であるべきところが「本の住人」になってるのですが、Googleは記号を無視するというアレでしょうか?

[4758] Re: 「2008年」

スターダスト (2008年1月4日 13時19分)

キリスト教に起源を持つエチオピア暦では2001年だそうです、今年は。彼の地でも3つめの千年紀にはいりました。

いやぁめでたいですね。

[4757] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

スターダスト (2008年1月4日 13時17分)

「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース

というのが以前ありました。

画像の中にmhtmlを埋め込むというやつだったかと記憶しています。見た目は正常な画像でしたが、それをmhtmlとして呼び出せば良かったのでアレでした。

今はIEにパッチかかっているはずです。

[4756] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

ばけら (2008年1月3日 13時51分)

>execCommandメソッドのSaveASを使って、スタートアップフォルダのパスを指定して、ディスクをフォーマットするバッチファイルを保存させようとしているようです。

 ですね。

 しかし、パスが指定できるというのがちょっと驚きというか、そういう機能は必要なのですかね?

[4755] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

ばけら (2008年1月3日 13時45分)

> <html lang="ja"> が二重になってしまっているようです。

 おっと。

 修正しておきました。

[4754] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

ばけら (2008年1月3日 13時43分)

>想定しているのはいわゆる画像掲示板のように、サーバの管理者と悪意ある画像の投稿者が異なるケースだと思われます。

 なるほど。

 その場合、画像掲示板に XSS 脆弱性があるということですよね。

[4753] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

znz (2008年1月2日 22時30分)

http://minazuki.com/content-type/texthtml.jpg

は <html lang="ja"> が二重になってしまっているようです。

# Another HTML-lintでチェックしてみたら-365点

[4752] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

N4 (2008年1月2日 20時39分)

こちらのまとめサイトにスクリプトの内容が載ってます。

http://www13.atwiki.jp/burakura_hdd/pages/14.html

execCommandメソッドのSaveASを使って、スタートアップフォルダのパスを指定して、ディスクをフォーマットするバッチファイルを保存させようとしているようです。保存自体はユーザがSaveASのダイアログでOKボタンか何かを押さないとできませんが、他のメッセージボックスを大量に出してそこに紛れ込ませることで、誤って保存を実行するように仕向けているようです。

[4751] Re: 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」

えむけい (2008年1月2日 17時19分)

想定しているのはいわゆる画像掲示板のように、サーバの管理者と悪意ある画像の投稿者が異なるケースだと思われます。もちろんURL見ただけで画像掲示板かどうかは判定できませんが。

[4750] Re: 「マンガいろいろ」

えむけい (2008年1月1日 12時53分)

amazonのページをブラウザで開いても「イメージはありません」と出てきたので、API経由とか以前にそもそもサムネイル自体が登録されてないっぽいですね。

最近の日記

関わった本など